عاملهای انسانی در امنیت اطلاعات/عاملهای انسانی در امنیت الکترونیکی
دیدگاه تجاری
ویرایشیکی از بزرگترین موانع مقابل امنیت الکترونیک، عوامل انسانی و سازمانی میباشند که باعث به وجود آمدن آسیب پذیری های اجتماعی و فنی در کامپیوترها و سیستمهای اطلاعاتی یک سازمان میگردند. هدف از این بحث بررسی حساس ترین عوامل انسانی و سازمانی در مقابله با امنیت الکترونیک به منظور شناسایی روش های مورد استفاده برای توصیف این عوامل و همچنین بررسی تلاش های انجام شده برای از بین بردن و یا حل این مشکلات میباشد.
در اینجا مدلی از ریسک برای دستهبندی دارایی های مورد نیاز برای حفاظت در امنیت الکترونیکی ارایه میشود. این مدل به منظور اولویتبندی قسمت های حساس و بحرانی یک سازمان که نیاز به حفاظت بیشتری در برابر حملات بیرونی دارند ارایه می شود.
عامل های انسانی و سازمانی برای هر کدام از آسیبپذیری ها وجود دارد. مهمترین عاملهای شناسایی شده عبارتند از: سیاست ها، آموزش، تعهد مدیریت، ارتباطات و بازخورد و فرهنگ. آسیبپذیریها بر اساس سطوح حساسیت به سه دسته تقسیم می شوند. گروه اول شامل کنترل دسترسی، مدیریت وصله ها ( Patch Management ) و محافظت در برابر ویروسها می باشد. گروه دوم شامل پشتیبانگیری، طراحی نرمافزارها، طبقهبندی داراییها و مدیریت رمزها است. گروه سوم شامل برنامهریزی احتمالات، مدیریت محتوا، کنترل داده، معماری سازمانی و تحلیل لاگ تراکنشها می باشد.
در خصوص عاملهای انسانی و سازمانها، مسائل و سوالهای بسیار مطرح می گردد که برای نمونه می توان به موارد زیر اشاره کرد:
۱) پیاده سازی یک زبان مشترک امنیتی
۲) پذیرش فرهنگ امنیت در بین پرسنل بخصوص در لایه های پایین
۳) تعریف رفتارهای امن و نا امن پرسنل
۴) اشتباهات امنیتی که توسط پرسنل رخ می دهد
۵) عدم درگیری کافی مدیریت برای پیاده سازی موفق سیاستهای امنیتی
۶) بازگشت سرمایه در امنیت اطلاعات چیست؟
۷) عدم وجود مهارت مناسب فناوری اطلاعات در مدیران و در نتیجه عدم آگاهی کافی
با توجه به موارد بالا نیاز است که به سوالات زیر بتوانیم پاسخ دهیم:
۱) چگونه می توانیم یک ارزیابی امنیتی در مورد عوامل انسانی در امنیت الکترونیکی داشته باشیم؟ بازگشت سرمایه در امنیت اطلاعات چیست؟
۲) مسائل عمومی عاملهای انسانی در امنیت الکترونیک چیست؟
۳) تجربههای موفق و دستورالعمل ها در خصوص عوامل انسانی در امنیت اطلاعات چیست؟
۴) اجزاء فرهنگ امنیتی چیست ؟
بازگشت سرمایه در امنیت اطلاعات شامل یک رویکرد ۵ مرحلهای به شرح زیر است:
۱- تعریف سیستم ها و موجودی آن ها: مشخص کردن داراییهایی (مثلا اجزاء شبکه ، سرورها ، داده ها و ...) که در فرآیندهای تجاری حساس دخالت دارند. بعد از شناسایی این موارد باید ارزش و حساسیت آنها مشخص گردد.
۲- ارزیابی تهدیدها و آسیبپذیری ها: آزمایش سیستم در مقابل نقاط ضعف و دستهبندی و اولویتبندی آنها
۳- ارزیابی کنترل ها
۴- تصمیمگیری: در این مرحله هزینه انجام کنترلها در مقابل فرایندها، سیستمها و اطلاعات مورد نیاز برای حفاظت ارزیابی می گردد. اثربخشی کنترلهای فنی و سازمانی نیز بررسی می گردد.
۵- ارتباطات و پایش: آگاهسازی کاربران و مدیریت در مرحله پیادهسازی
با بررسی دارایی های اطلاعاتی می توان زنجیره ارزشی مانند زیر برای آن متصور شد:
عوامل انسانی مرتبط با کنترل دسترسی را می توان به شرح زیر بیان کرد:
۱) آموزش: تفهیم و توجیه مسئولیتهای پرسنل
۲) طراحی: درجه سختی کنترل سیستم
۳) فشارها: انواع فشارهای وارده از جاهای مختلف مثل مدیریت
۴) عدم وجود برنامهریزی اتفاقات
عوامل انسانی مرتبط با کنترل داده ها به شرح ذیل است:
۱) کنترلهای ضعیف ورود به سیستم
۲) فرهنگ ایمنی
۳) آگاهی پرسنل
۴) رمزهای عبور
۵) طراحی ضعیف برنامه ها
۶) مدیریت وصله ها Patch Management
۷) آسیب پذیریهای پشتیبان گیری
۸) محافظت با آنتی ویروسها (ویروسکشها)
۹) تشخیص نفوذ
۱۰) تحلیل لاگ تراکنش ها
می توان به وضوح دریافت که در طول آسیب پذیری های زنجیره ارزش عاملهای انسانی و سازمانی تاثیرات بسیار زیادی دارند.
اولین و مهمترین نکته که در حوزه فرهنگ می توان بیان کرد، وجود یک دیدگاه قوی امنیتی در طول زنجیره ارزش است. دوم اینکه هر فرآیند تجاری میبایست یک مسئول داشته باشد و فرآیندهای فناوری اطلاعات نیز از این قاعده مستثنی نیستند. مسئول هر فرآیند برای اندازهگیری اثربخشی فرآیند و تشخیص نقاط ضعف نیاز به پارامترهای تعریف شده دارند. هر المانی از زنجیره ارزش نیازمند یک سیاست تایید شده توسط مدیریت است که قدرت اجرا داشته باشد.
فرهنگ امنیتی ابعاد مختلفی دارد که می توان به صورت زیر آن را بیان کرد:
۱) مشارکت پرسنل : اگر در سطح پرسنل مقاومت وجود داشته باشد به سختی می توان سیاستهای امنیتی را اجرا نمود. آگاهی پرسنل می تواند کمک شایانی به پیشبرد اهداف امنیتی سازمان نماید.
۲) دستورالعملهای استخدامی: مواردی مانند کنترل سوابق استخدامی شخص ، آموزش سیاست امنیتی به پرسنل جدید
۳) نظام انگیزشی: مکانیزمی برای پیشبرد فرهنگ امنیتی می تواند باشد.
۴) تعهد مدیریت: الزام و تعهد مدیریت به رعایت سیاست امنیتی در سازمان
۵) ارتباطات و بازخورد: می تواند به تکمیل و غنی شدن فرهنگ امنیتی کمک کند
۶) تحلیل مشکلات امنیتی
۷) امنیت فیزیکی: به پیادهسازی امنیت مجازی و اطلاعاتی کمک شایانی می کند
منابع
ویرایش- دریافت منبع
- عنوان انگلیسی مقاله: Human Factors in E-Security – The Business Viewpoint